Lý do lỗ hổng đe đọa giao dịch online có tên 'trái tim rỉ máu'

Thứ tư - 25/02/2015 06:46
Giao thức mã nguồn mở Open SSL bị phát hiện tồn tại lỗ hổng an ninh được đặt tên là HeartBleed (trái tim rỉ máu), gây ảnh hưởng nghiêm trọng đến giao dịch trực tuyến toàn cầu. Lý do lỗ hổng đe đọa giao dịch online có tên 'trái tim rỉ máu'

Dù nhà cung cấp đã nhanh chóng đưa ra bản vá chính thức, ông Nguyễn Minh Đức, Chuyên gia bảo mật thuộc Ban Công nghệ - Tập đoàn FPT, cho rằng thực tế đã có một nhóm người phát hiện ra lỗ hổng này trước đó và có thể từ lâu họ đã âm thầm khai thác lấy thông tin mà người sử dụng không hề hay biết.

Lỗ hổng OpenSSL Heartbleed là gì?

Ông Nguyễn Minh Đức: Như đã biết, một lỗ hổng nguy hiểm của OpenSSL mới được công bố cho phép hacker có thể đọc được từ xa bộ nhớ trên máy chủ có cài đặt OpenSSL phiên bản 1.0.1 đến 1.0.1f.

Khai thác lỗ hổng, hacker có thể lấy được private key (khóa cá nhân) của máy chủ, sử dụng để mã hóa các dữ liệu trao đổi giữa server và người dùng. Từ đó hacker có thể đọc được toàn bộ thông tin được trao đổi giữa người dùng và server như chưa hề được mã hóa. Dễ hiểu hơn là hacker có thể đọc được tên đăng nhập/ mật khẩu, nội dung thư điện tử, chat…

Đích nhắm của hacker sẽ là các trang web có thanh toán trực tuyến như ngân hàng điện tử, chứng khoán điện tử, cổng thanh toán điện tử, các trang về thương mại điện tử. Ngoài ra, các máy chủ e-mail và một số dịch vụ khác có sử dụng OpenSSL để mã hóa cũng sẽ là mục tiêu tấn công.

Tại sao lại gọi lỗ hổng là Trái tim rỉ máu (HeartBleed)?

Vì lỗi nằm trong việc xử lý TLS Heartbeat extension (RFC6520) của OpenSSL. Nguyên lý hoạt động của RFC này là để người dùng /máy chủ kiểm tra xem bạn của mình có còn sống hay không (kiểm tra nhịp tim - Heartbeat). Do lỗi ở tính năng kiểm tra heartbeat, nên người ta gọi lỗ hổng là Heartbleed.

Cụ thể, khi người dùng gửi 1 tin nhắn heartbeat đến máy chủ với 1 kích thước nào đó (ví dụ 1KB), máy chủ sẽ phản hồi chính tin nhắn đó lại cho người dùng. Tạm hiểu là nếu tôi ném cho ông một quả táo để xem ông có còn sống hay không, ông sẽ ném lại tôi đúng quả táo đó để báo là ông còn sống.

Nhưng lợi dụng việc xử lý không tốt trong OpenSSL, hacker sẽ gửi một tin nhắn có kích thước thật là 1 KB, nhưng lại lừa rằng nó có kích thước 64 KB. Do không kiểm tra cẩn thận, nên máy chủ sẽ trả lời bằng 1 gói tin có kích thước là 64 KB (bao gồm 1 KB là tin nhắn thật và 63 KB trong bộ nhớ của máy chủ). Với lỗ hổng này, hacker sẽ tự nhiên nhận được 63KB dữ liệu trên RAM của máy chủ để tiếp tục khai thác.

Lý do lỗ hổng đe đọa giao dịch online có tên 'trái tim rỉ máu' 1

Lỗ hổng HeartBleed có thể đã được các dịch vụ trực tuyến khắc phục, nhưng dữ liệu của người dùng có thể đã nằm trong tay hacker. Do đó, người dùng nên nhanh chóng đổi mật khẩu trên các dịch vụ.

Trên thế giới và tại Việt Nam, lỗ hổng này đã có tác động như thế nào?

Chúng ta hình dung lỗ hổng này nằm trong thư viện được mã hóa. Điều đó có nghĩa là các dịch vụ mà chúng ta muốn an toàn, như các ngân hàng điện tử, trang thương mại điện tử, kể các máy chủ có cài giao thức SSL này đều có thể trở thành đối tượng cho hacker tấn công. Theo thống kê không chính thức, trên giới có khoảng trên 500,000 máy chủ nằm trong diện này.

Tại Việt Nam, trong hệ thống ngân hàng điện tử cũng có một số ngân hàng đã bị lỗ hổng và họ đã được cảnh báo từ ngày 9/4. Tính đến hết ngày 10/4, các lỗ hổng này hầu như đã được xử lý triệt để.

Ông có tư vấn nào cho những người trực tiếp sử dụng giao dịch điện tử tại để tránh gặp rủi ro do lỗi OpenSSL Heartbleed?

Để tránh rủi ro, những người thực hiện giao dịch điện tử từ ngày 8/4 đến ngày 10/4, nên thực hiện việc đổi mật khẩu. Bởi trong những ngày vừa rồi, có thể trong quá trình giao dịch, mật khẩu khi lưu vào bộ nhớ đã bị hacker lấy được và lưu trữ nhằm thực hiện hành vi tấn công sau này. Ngoài ra, trên mạng cũng có một số công cụ nhằm kiểm tra website có bị lỗ hổng hay không. Do vậy, trước khi giao dịch, người dùng có thể kiểm tra trước để đảm bảo an toàn.

Trong thời gian tới, các doanh nghiệp, nhất là các ngân hàng cần làm gì để tránh rơi vào những trường hợp tương tự?

Lần này lỗi là ở nhà phát triển OpenSSL. Cả thế giới này dùng nó thì sẽ bị. Tuy nhiên tôi nghĩ các doanh nghiệp để chủ động tránh bị tính huống lạc hậu này thì cần phải có cơ chế thường xuyên theo dõi các bản vá mới và có lịch cập nhật các bản vá này một cách thường xuyên. Nếu không tự bố trí nhân lực được thì có thể thuê các đơn vị cung cấp dịch vụ chuyên nghiệp.

Các công nghệ mã nguồn, dù là nguồn mở hay các mã nguồn của các doanh nghiệp CNTTphát triển đều có khả năng bị lỗ hổng cho tin tặc khai thác? Theo ông, trong tương lai gần, công nghệ nào có thể khắc phục được điều này?

Về bản chất thì phần mềm là tiềm tàng lỗi và cả lỗ hổng nữa. Chẳng hạn Microsoft có một đội chuyên nghiệp về đảm bảo phần mềm an toàn 20 năm nay, nhưng định kỳ hàng tháng vẫn phải có bản cập nhật cho các lỗ hổng được phát hiện.

Về các biện pháp công nghệ để hạn chế các lỗ hổng này cũng có nhiều dạng. Từ việc đào tạo các lập trình viên về lập trình an toàn, cho đến việc thiết kế, phát triển các công cụ rà soát mã nguồn, kiểm thử phần mềm… các hãng lớn như Microsoft, Google đều áp dụng. Tuy nhiên bản chất là phần mềm do con người tạo ra và luôn tiềm tàng lỗi nên người ta chỉ hạn chế tối đa việc có lỗ hổng, chứ không thể ngăn chặn một cách tuyệt đối. Ngoài ra, các hãng lớn gần đây cũng còn có các chương trình trao thưởng hậu hĩnh cho những ai phát hiện ra lỗ hổng. Việc này cũng là một trong những biện pháp huy động nguồn lực to lớn từ bên ngoài.

Big Data có thể ứng dụng được trong lĩnh vực về an toàn thông tin. Đặc biệt, công nghệ này có thể được sử dụng để phát hiện các bất thường trong mã nguồn, hoặc trong các giao dịch của hệ thống mạng. Qua đó ứng dụng trong các công ty phát triển phần mềm, nhà cung cấp dịch vụ máy chủ và cả các doanh nghiệp, ngân hàng, tổ chức tài chính…

theo nguồn: sohoa.vnexpress.net

Nguồn tin: dientuthaibinh.vn

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Facebook
Thống kê truy cập
  • Đang truy cập19
  • Hôm nay1,850
  • Tháng hiện tại90,878
  • Tổng lượt truy cập2,128,591
Tìm kiếm sản phẩm
Danh mục truy cập nhanh: Xem video sửa chữa tivi ledDịch vụ cứu dữ liệu ổ cứng, Báo giá Cứu dữ liệu ổ cứng, sửa chữa ổ cứng,  Cứu dữ liệu ổ cứng , Cứu dữ liệu ổ ssd, Cứu dữ liệu Server, Cứu dữ liệu usb,Cứu dữ liệu máy ảnh, Cứu dữ liệu Camera, Cứu dữ liệu điện thoại, ổ cứng laptop, sửa chữa ổ cứng máy bàn, chuyên sửa chữa ổ cứng laptop, sửa chữa laptop, ổ cứng bị best, ổ cứng không vào được win, Sửa chữa tivi hưng hà, sửa chữa tivi tại thái bình, sửa chữa tivi tại hưng nhân, sửa chữa tivi tại kiến xương, sửa chữa tivi tại tiền hải, sửa chữa tivi tại thành phố thái bình, sửa chữa tivi tại thái thụy, sửa chữa tivi tại diêm điền, sửa chữa tivi tại vũ thư, sửa chữa tivi tại đông hưng, sửa chữa tivi tại quỳnh phụ, sửa chữa tivi tại quỳnh côi, sửa chữa tivi tại thái bình, sửa tivi led tại nhà thái bình, sửa chữa tivi thái bình, chuyên sửa chữa tivi tại trần hưng đạo, sửa chữa tivi tại trần lãm, lê quý đôn, hai bà trưng, ngô thị nhậm, quang trung, minh khai, lê thánh tông, trần nhân tông, cầu kìm, phan bá vành..
 
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây